俄羅斯網路犯罪分子疑似已將從 LastPass 用戶竊取的逾 3,500 萬美元加密貨幣,透過位於俄羅斯的交易所與隱私工具完成洗錢。研究人員追蹤被盜資金後,將其指向與俄羅斯網路犯罪地下圈相關的非法平台。
事件經過:系統化洗錢行動
TRM Labs 研究人員將這起跨年度盜竊行動與 2022 年的 LastPass 資料外洩事件連結起來,發現攻擊者一路將遭入侵的保險庫資產持續轉出,直到 2025 年底仍未停止。
分析顯示,一個協調良好的團隊利用隱私協議,先模糊交易軌跡,再把資金導入俄羅斯平台。
犯罪者先把非 Bitcoin 資產透過即時兌換服務轉成比特幣,接著將資金移入 Wasabi Wallet 與 CoinJoin 等混幣工具。這類服務會把多名用戶的交易集中混合,以打亂交易歷史,不過分析人員透過「行為連續性分析」成功逆向還原混幣過程。
調查人員追蹤到約 700 萬美元流入 Audi6,這是一家在俄羅斯網路犯罪生態系中運作的交易所。另有部分資金流經 Cryptex,該交易所目前已被 美國財政部海外資產控制辦公室(OFAC) 列入制裁名單。
延伸閱讀: Analyst Warns Bitcoin May Need a Drop Below $80,000 to Flush Weak Holders
為何重要:支撐犯罪的基礎設施
調查結果顯示,這起洗錢行動在洗錢前後皆與俄羅斯維持營運層級的聯繫,顯示其更可能是直接在當地運作,而非只是租用基礎設施。
分析人員在鏈上發現一組一致的特徵簽章,把多起盜竊事件串聯回同一個協調團隊。
這些發現說明,俄羅斯加密貨幣平台如何為被竊數位資產提供流動性與變現管道。透過追蹤特定的數位足跡,包括錢包軟體在匯入私鑰時的行為模式,調查人員得以拆解混幣流程,並追蹤資金最終被存入俄羅斯交易所。
下一篇: Bitcoin Mining Difficulty Ends 2025 with Modest Rise After 3-Month Decline